Accenture ha confirmado que sufrió una brecha de seguridad después de que un actor malicioso afirmara haber robado aproximadamente 35 GB de datos internos, incluyendo código fuente y credenciales de desarrollo sensibles. La empresa afirmó que contuvo el incidente, remedió su origen y no encontró impacto en sus operaciones ni en la prestación de atención al cliente.
El hacker, usando el alias “888”, anunció el supuesto conjunto de datos para la venta en un foro de ciberdelincuencia a principios de esta semana. Según el listado, el archivo incluye código fuente, claves RSA y SSH, Azure Personal Access Tokens, claves de acceso Azure Storage, archivos de configuración y otros datos relacionados con el desarrollo.
Accenture confirmó que investigó las acusaciones tras ser contactada por periodistas. En un comunicado, la empresa afirmó haber identificado un incidente de seguridad, abordado su origen y determinado que el compromiso no interrumpió las operaciones comerciales ni afectó al servicio al cliente. La empresa no ha revelado cómo el atacante obtuvo acceso ni si hubo información de clientes implicada.
Los investigadores que analizaron muestras liberadas por el actor amenazante dijeron que la vista previa no incluía código fuente real. En su lugar, supuestamente contenía un listado de directorios de proyectos internos junto con referencias a numerosos archivos .env, que se usan comúnmente para almacenar claves API, tokens de autenticación y otros secretos. Si son auténticos, esos archivos podrían proporcionar a los atacantes acceso a recursos internos de desarrollo si las credenciales siguen siendo válidas.
El actor amenazante también afirma que los datos robados incluyen credenciales vinculadas a los servicios de Microsoft Azure. Los expertos en seguridad señalan que las credenciales en la nube expuestas pueden suponer un mayor riesgo que el código fuente por sí solo, ya que pueden permitir el acceso no autorizado a entornos de desarrollo, cuentas de almacenamiento u otra infraestructura en la nube si no han sido revocadas.
En esta etapa, no hay una confirmación independiente de que todo el conjunto de datos anunciado sea genuino. Aunque Accenture ha reconocido el incidente de seguridad, la empresa no ha verificado las afirmaciones del hacker sobre el volumen de datos robados ni los archivos específicos supuestamente tomados.
El incidente marca la última vez que Accenture ha tratado con afirmaciones de seguridad divulgadas públicamente. En 2021, la empresa confirmó que se había robado información propietaria durante un ataque de ransomware de LockBit. Más recientemente, en 2024, un actor amenazante también intentó vender lo que se describió como datos de empleados de Accenture, aunque la empresa cuestionó el alcance de ese incidente y afirmó que solo tres personas se vieron afectadas.